netsh ipsec 使用方法

最新推荐文章于 2024-09-20 19:19:27 发布
最新推荐文章于 2024-09-20 19:19:27 发布
阅读量1.1w 收藏 9
点赞数
分类专栏: 网摘技术文章 C++基础知识 文章标签: filter 终端 action tcp internet security
本文详细介绍了如何在命令行环境下通过netsh命令配置IPsec安全策略,包括策略的建立、修改、删除及激活过程。具体步骤涵盖创建安全策略、筛选器操作与列表、规则设置,并提供了实例代码供参考。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

IPsec  (Internet Protocol security)

在命令行下,通过netsh ipsec static来配置IPSEC安全策略。前提是IPSEC服务已经打开。

一个IPSEC由一个或者多个规则组成;一个规则有一个IP筛选器列表和一个相应的筛选器操作组成;这个筛选器列表和筛选器可以是系统本身所没有的,如果没有则需要自行建立,而一个筛选器又由一个或多个筛选器组成,因此配置IPSEC的时候必须分步进行。规则由筛选器列表和筛选器操作构成。而且存放在策略里,策略器由策略器列表来存储,这样就决定了一个步骤:建立空的安全策略,建立筛选器列表,建立筛选器操作,这三步不需要特定的顺序,建立筛选器需要在空筛选器列表建立成以后;建立规则在上述三步骤完成之后。下面开始配置策略的新增,修改,删除、最重要的是激活;

 

更详细的资料请参考微软的技术资源库:

Netsh Commands for Internet Protocol Security (IPsec)

连接如下:http://technet.microsoft.com/zh-cn/cc725926

备注:注意连接里的 Netsh Commands for Windows Firewall with Advanced Security.连接,他给你的帮助会更大;


导出IPsec安全策略:Netsh ipsec static exportpolicy file = d:\ExportSecurity.ipsec

导入IPsec安全策略:Netsh ipsec static importpolicy file = d:\ImportSecurity.ipsec


1、建立一个新的策略

1.1首先建立一个空的安全策略[Michael’s安全策略]

Netsh ipsec static add policy name = Michael’s安全策略

 

1.2建立一个筛选器操作”阻止”

Netsh ipsec static add filteraction name = 阻止 action =block

 

1.3建立一个筛选器列表“可访问的终端列表”

Netsh ipsec static add filterlist name =可访问的终端列表

Netsh ipsec static add filter filterlist = 可访问的终端列表

srcaddr=203.86.32.248

dstaddr = me dstport = 3389

description = 部门1访问 protocol =TCP mirrored = yes

 

Netsh ipsec static add filter filterlist = 可访问的终端列表

Srcaddr = 203.86.31.0 srcmask=255.255.255.0

dstaddr = 60.190.145.9 dstport = 0

description = 部门2访问 protocol =any mirrored = yes

 

1.4建立策略规则

Netsh ipsec static add rule name =可访问的终端策略规则

Policy = Michael’s安全策略

filterlist =可访问的终端列表

filteraction = 阻止

 

2、修改策略

netsh ipsec static set filter filterlist = 可访问的终端列表

srcaddr = 220.207.31.249

dstaddr = Me  dstport=3389 protocol=TCP 

 

3、删除策略

netsh ipsec static delete rule name = 可访问的终端策略规则 policy = Michael’s安全策略
netsh ipsec static delete filterlist name = 可访问的终端列表


4、最最重要的一步是激活;

netsh ipsec static set policy name = Michael’s安全策略 assign = y


以下提供一个我自己写的实例:

echo 创建安全策略
Netsh IPsec static add policy name = APU安全策略

echo 创建筛选器是阻止的操作
Netsh IPsec static add filteraction name = 阻止 action = block

echo 创建筛选器是允许的操作
Netsh IPsec static add filteraction name = 允许 action = permit

echo 建立一个筛选器可以访问的终端列表
Netsh IPsec static add filterlist name = 可访问的终端列表
Netsh IPsec static add filter filterlist = 可访问的终端列表 srcaddr = 203.86.32.248 dstaddr = me dstport = 3389 description = 部门1访问 protocol = TCP mirrored = yes

echo 建立一个筛选器可以访问的终端列表
Netsh ipsec static add filter filterlist = 可访问的终端列表 Srcaddr = 203.86.31.0 srcmask=255.255.255.0 dstaddr = 60.190.145.9 dstport = 0 description = 部门2访问 protocol =any mirrored = yes

echo 建立策略规则
Netsh ipsec static add rule name = 可访问的终端策略规则 Policy = APU安全策略 filterlist = 可访问的终端列表 filteraction = 阻止

echo 激活策略
netsh ipsec static set policy name = APU安全策略 assign = y

pause


或者 

Netsh ipsec static add policy name = 默认策略名称
pause

Netsh ipsec static add filteraction name = 阻止操作 action = block
pause

Netsh ipsec static add filteraction name = 允许操作 action = permit
pause

Netsh ipsec static add filterlist name = 访问列表
pause

Netsh ipsec static add filterlist name = 阻止列表
pause

Netsh ipsec static add filter filterlist = 访问列表1 srcaddr = 203.86.32.248 dstaddr = me dstport = 3389 description = 部门1访问 protocol = TCP mirrored = yes
pause

Netsh ipsec static add filter filterlist = 访问列表2 srcaddr = 203.86.31.0 srcmask = 255.255.255.0  dstaddr = 60.190.145.9 dstport = 0 description = 部门2访问 protocol = any mirrored = yes
pause

Netsh ipsec static add rule name = 可访问的终端策略规则 Policy = 默认策略名称 filterlist = 访问列表1 filteraction = 阻止操作
pause

Netsh ipsec static add rule name = 可访问的终端策略规则 Policy = 默认策略名称 filterlist = 访问列表2 filteraction = 阻止操作
pause

netsh ipsec static set policy name = 默认策略名称 assign = y
pause





[以下是转载未经过测试,百度上都可以找的到。]

REM =================开始================ 
netsh ipsec static ^ 
add policy name=bim 

REM 添加2个动作,block和permit 
netsh ipsec static ^ 
add filteraction name=Permit action=permit 
netsh ipsec static ^ 
add filteraction name=Block action=block 

REM 首先禁止所有访问 
netsh ipsec static ^ 
add filterlist name=AllAccess 
netsh ipsec static ^ 
add filter filterlist=AllAccess srcaddr=Me dstaddr=Any 
netsh ipsec static ^ 
add rule name=BlockAllAccess policy=bim filterlist=AllAccess filteraction=Block 

REM 开放某些IP无限制访问 
netsh ipsec static ^ 
add filterlist name=UnLimitedIP 
netsh ipsec static ^ 
add filter filterlist=UnLimitedIP srcaddr=61.128.128.67 dstaddr=Me 
netsh ipsec static ^ 
add rule name=AllowUnLimitedIP policy=bim filterlist=UnLimitedIP filteraction=Permit 

REM 开放某些端口 
netsh ipsec static ^ 
add filterlist name=OpenSomePort 
netsh ipsec static ^ 
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=20 protocol=TCP 
netsh ipsec static ^ 
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=21 protocol=TCP 
netsh ipsec static ^ 
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=80 protocol=TCP 
netsh ipsec static ^ 
add filter filterlist=OpenSomePort srcaddr=Any dstaddr=Me dstport=3389 protocol=TCP 
netsh ipsec static ^ 
add rule name=AllowOpenSomePort policy=bim filterlist=OpenSomePort filteraction=Permit 

REM 开放某些ip可以访问某些端口 
netsh ipsec static ^ 
add filterlist name=SomeIPSomePort 
netsh ipsec static ^ 
add filter filterlist=SomeIPSomePort srcaddr=Me dstaddr=Any dstport=80 protocol=TCP 
netsh ipsec static ^ 
add filter filterlist=SomeIPSomePort srcaddr=61.128.128.68 dstaddr=Me dstport=1433 protocol=TCP 
netsh ipsec static ^ 
add rule name=AllowSomeIPSomePort policy=bim filterlist=SomeIPSomePort filteraction=Permit


windows防护之(一)屏蔽危险端口
qq_40907977的博客
11-30 1415
CMD命令行执行即可 netsh ipsec static ^ add policy name=关闭危险端口 netsh ipsec static ^ add filteraction name=阻止端口 action=block netsh ipsec static ^ add filterlist name=危险端口关闭 netsh ipsec static ^ add filter filterlist=危险端口关闭 srcaddr=any dstaddr=me description=拒绝TCP44
windows防护之(一)屏蔽危险端口_netsh ipsec static add filter filterlist=deny445 s
2401_84239901的博客
04-18 632
add filter filterlist=危险端口关闭 srcaddr=any dstaddr=me description=拒绝TCP445端口 dstport=445 protocol=tcp mirrored=yes。add filter filterlist=危险端口关闭 srcaddr=any dstaddr=me description=拒绝TCP135端口 dstport=135 protocol=tcp mirrored=yes。CMD命令行执行即可。
netsh ipsec
xiaobi_zhi003的专栏
12-17 800
链接: http://technet.microsoft.com/en-US/cc725926 http://msdn.microsoft.com/en-us/cc739550(zh-cn,WS.10).aspx   创建策略 netsh ipsec static add policy name="DIY Policy" description="Port accessed policy
使用 netsh ipsec 管理本地安全策略
weixin_33912246的博客
06-24 316
简介 IPSec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的***。在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows XP 和 Windows Server 2003 家族中,IPSec 提供了一种能力,以保护工作组、局域网计算机、域客户端和服务、分支机构(物理上为远程机构)、...
netshipsec(win2003)
weixin_34163741的博客
09-02 222
1、创建策略: netsh ipsec static add policy name="阻止访问" description="阻止用户访问指定的端口" 2、创建过滤netsh ipsec static addfilter filterlist="阻止访问1433端口" srcaddr=any srcport=0 dstaddr=me dstport=1433...
ipsec netsh五步
04-22
说明使用netsh配置ipsec的步骤,配置完毕后两台pc可以通过ipsec协议通信
使用netsh命令来管理IP安全策略(详细介绍)
09-30
创建一个新的IP安全策略,可以使用`netsh ipsec static add policy`命令。例如,创建一个名为“splaybow.com”的策略,您可以输入: ``` netsh ipsec static add policy name=splaybow.com ``` 若要为策略添加描述,...
win2003服务通过ipsec做防火墙的配置方法
01-20
windows2003系统的防火墙功能较弱,关键是无法使用命令进行配置,这对批量部署会造成很大的工作量,因此使用ipsec进行访问控制 在windows2003下是可以通过命令 netsh ipsec进行操作 命令的语法:...
使用脚本添加IP安全策略ipsec.pdf
09-26
在 Win2k3 中,我们可以使用 netsh ipsec 命令来添加 IP 安全策略。netsh ipsec 命令可以用来添加、删除和修改 IP 安全策略。 例如,我们可以使用以下命令来添加一个名为 "Haishion" 的 IP 安全策略: ``` netsh ...
1、网络安全工具 Netsh IPsec
weixin_34279184的博客
03-21 1014
1、IPsec组成及操作基本流程IP安全策略列表:由多个IP安全策略组成IP安全策略:由一个或多个规则的组成规则:由一个IP列表和一个相应的筛操作的组成IP列表:由一个或多个IP组成筛操作:permit或block操作流程:创建IP安全策略-->创建筛操作-->创建IP列表-->创建策略规则-->激活IP安全策略2、...
还能这么玩?Windows通过netsh命令配置IPsec
最新发布
衡水铁头哥的博客
09-20 2283
正文共:1024 字 6 图,预估阅读时间:2分钟前面介绍过IPsec协议规范和相关的配置实验(IPsec合集)。协议规范(IPsec:RFC2401-互联网协议的安全架构)里面也提及了,IPsec定义了两种类型的SA:传输模式和隧道模式。传输模式 SA 是两个主机之间的安全联盟。隧道模式SA是两个安全网关之间的安全联盟。既然之前测试的都是安全网关之间的隧道模式的IPsec,那我想你大概率没有接...
【批处理DOS-CMD命令-汇总和小结】-上网和网络通信相关命令(netsh
小坏蛋的博客
07-10 5367
netsh(Network Shell)是一个windows系统本身提供的功能强大的网络配置命令行工具,可用来修改windows的ip、网关、dns等信息。执行命令【netsh /?】,显示帮助信息 由于netsh命令是一个上下文命令,因此当直接执行netsh时,会进入netsh环境;而进一步使用诸如dump、delete这些命令时,效果和不先进入上下文环境,而直接执行【netsh dump】、【netsh delete】完全一样。 既然可以显示所有配置信息,那么将配置信息重定向至文本文件,也就实现了将
windows2003中使用命令行添加IP规则
weixin_34168700的博客
06-01 325
添加单个IP: netsh ipsec static add filter filterlist=允许访问的端口 srcaddr=192.168.60.20 staddr=me dstport=80 protocol=TCP 添加子网: netsh ipsec static add filter filterlist=允许访问的端口 srcaddr=192.168.60.0 srcmask=...
netsh命令操作ipsec
dingcu8103的博客
08-03 545
IPsec就是IP安全筛,本可以在本地安全策略中的窗口上进行操作添加,那么netsh也可以支持命令行操作这部分的内容。 我们的示例是禁止IP地址为192.168.1.10访问财务部某机3389端口 1、添加一个名称为AccessControl的安全策略 netsh ipsec static add policy name=AccessControl 2、建立一个筛操作,名称...
命令行创建IP安全策略(IPSEC),让系统更安全
luo的博客
11-04 828
XP以后,共享端口换成了新的445端口,但是为了兼容Win98等老系统的访问,保留了139端口,到现在的Win11中,仍然保留着139端口!netsh ipsec static add filter filterlist=“策略1” protocol=tcp dstport=139 srcaddr=any dstaddr=me。netsh ipsec static add rule name=“安全策略” policy=“安全策略” filterlist=“策略1” filteraction=“阻止”
使用IP安全策略(IPSec)提高服务安全性
acura的专栏
09-13 936
现如今的网络非常不安全,有很多国外的IP(肉鸡,傀儡机)对你的服务进行端口扫描,发现漏洞,然后进行暴力破解,一旦攻入成功,你的服务就变成他们的新肉鸡或者植入木马病毒对你进行勒索。如果你想服务端口只想被国内IP访问,那么我今天分享一个利用IPSec策略的脚本工具,Windows系统下(从2000,2003,2008,2012,2016,2019,2022)都可以使用
Windows创建和使用IP安全策略(IPSec
ithome
08-23 1612
IPSec 是一种开放标准的框架结构,它通过使用加密安全服务来确保 IP 网络上保密安全的通信。Windows 的 IPSec 执行基于由 Internet 工程任务组 (IETF) IPSec 工作组开发的标准。 IPsec 可建立从源 IP 地址到目标 IP 地址的信任和安全。只有那些必须了解通信是安全的计算机才是发送和接收的计算机。每台计算机都假定进行通信的媒介不安全,因此在各自的终端上处...
ipsec ip替换_采用IPSec策略编程实现屏蔽IP功能
weixin_39567222的博客
12-20 477
Windows下实现屏蔽IP的功能,很多人可能会联想到使用一些复杂的技术来解决,比如NDIS中间层驱动,甚至NDIS钩子驱动。但这些技术太过深奥,只有精通Windows编程的人才玩得转。如果你对Windows编程不是特别了解又没有太多时间,或者你根本一窍不通,那么你可以试试采用Windows网络配置命令netsh来解决这些问题。本文是采用advfirewall(本文不予探讨,有兴趣的可以点击链接查...
利用图形界面简化IPsec端口管理设置
在Windows操作系统中,尽管没有直接的图形界面工具来管理IPsec策略,但可以通过命令行界面(例如netsh ipsec)来设置相关的安全策略。对于不熟悉命令行工具的用户来说,第三方的图形界面工具如“IPsec端口管理设置...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值